- ベストアンサー
ファイヤーウォールとプロキシ
ボックス・ユニット型のファイヤーウォール(FW)製品には、プロキシ機能が付いているものがありますが、FWとプロキシを同じ機器で動かすのは、セキュリティ上は安全なのでしょうか? 一般に、UNIXマシンでFWやプロキシを動かす場合、それぞれで別々のマシンを用意するようですが…。それは、OS等にセキュリティ・ホールが多いため??
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ここでいうボックス・ユニット型のファイアーウォールが何を示すのかは微妙なところですが、FWもPROXYも機能の名前ですので、同じ筐体で動かすのか別の筐体で動かすのかは、セキュリティ上の問題ではないと思います。どちらかというとパフォーマンスの問題が多いと思います。後は、予算とサイトのポリシーです。 マシンを別にすれば、セキュリティ管理をするホストが増えるだけです。しかし、マシンを少なくすれば、破られたときにほかに守るものがなくなるとか接続するための補助のホストがなくなるとか、将来的なパフォーマンスの夜湯がなくなるとかという問題が発生する可能性がある。等、いろいろありますが、実際には、パフォーマンスと予算の問題が一番大きいのだろうと思います。 決して1台だとセキュリティに問題が発生するというものではありません。きちんと管理していれば、1台でも十分です。複数台あっても管理されていなければ、踏み台になるホストが増えるだけです。 基本的にボックス・ユニット型のファイヤーウォール(FW)製品は、ベンダーがセキュリティ対策をおこなうようになっているので、きちんと保守してくれるところに頼むしかありません。また、きちんとできないところのものを購入してはいけません。保守契約をケチることもいけません。
その他の回答 (1)
- Haizy
- ベストアンサー率40% (404/988)
こんにちは。 とっても、個人的な見解が入るんですが、回答します。 ボックスとかって、ルーティングが、ソフトですよね?Linuxとか・・・ 【セキュリティ上、好ましくは無いと思います。】 ★セキュリティホールは、OSに限りませんよ。 例えば、昨日SNMPの実装に問題があることが明らかにされました(痛)。 【興味あるなら↓どうぞ】 http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20020213/1/ このように負荷の分散とともにリスクの分散も行う為に別のマシンにしていると思いますよ。さらに、セキュリティの設計段階でも、マシン(IPアドレス)を変えた方が設計しやすく、柔軟な対策が取れるようになります。 ●同じIP? ル-タ|--|FW|--|PROXY| というのが、いわゆる「良くあるパターン」だと思います。 FWの外と中でIPアドレスの体系を替える事で、侵入が少しだけ難しくなります。一体になっていると、これができるのでしょうか? 一体型で、ブロードキャストドメイン(論理的に同じネットワークに存在192.168.1.*同士だったりとか・・・)であったり、同じIPなんて場合は、もう最悪ですよね。 ●物理接続は? 物理的に一緒になっていて、内部でこれと同じ接続形態が得られるなら良いのですが、 ル-タ|--|FW|  ̄ ̄ ̄L--|PROXY| のようにFWを経由しないで、PROXYが接続しされてしまうと、そこに大穴ができますよね。ルータのルーティングで透過されてきた、パケットなどはある程度、ファイアウォールで何とかします。が、これではだめですよね。最悪パターン。 ●「物理的に一台のCPU」であると危険であるということ。 複合的な脆弱性や、他のプロセスの脆弱性の「とばっちり」を食わないのか? など、不安要素は、たくさん・・・。 なんでも、「集中」させればよいというものではないと思います。 特にセキュリティでは。その分、管理は大変なんですがね(^^; ボクの思考のレベルでは、まだまだ甘いかもしれませんが・・。 でわ
お礼
ありがとうございました。参考にさせていただきます。
お礼
ご指摘ありがとうございます。参考にさせていただきます。